Bruselas impone las primeras sanciones por ciberataques

La Unión Europea (UE) ha impuesto las primeras sanciones en materia de ciberseguridad. En este caso, el expediente está dirigido contra seis personas y tres entidades, de nacionalidad rusa y china, responsables o involucradas en varios ciberataques dirigidos contra activos localizados en Europa. La UE responde así al intento de ataque cibernético que se produjo contra la Organización para la Prohibición contras las Armas Químicas, o los conocidos Wannacry o NotPetya en el año 2017.

Las autoridades europeas aseguran que estos piratas informáticos han provocado infinidad de daños a particulares y empresas. Entre los damnificados se encuentra la española Telefónica, que en verano de 2017 se vio obligada a evacuar sus oficinas como consecuencia de la agresividad del ransomware.

Las sanciones son la prohibición de viajar y la inmovilización de bienes de las personas físicas y de las entidades u organismos. También prohíben la puesta a disposición, directa o indirecta, de fondos de las personas y entidades u organismos incluidos en la lista.

“Hemos decidido estas sanciones a fin de prevenir, desincentivar e impedir mejor estas conductas maliciosas en el ciberespacio y responder a ellas”, señala Josep Borrell, alto representante de la Unión Europea. “Estas personas y entidades estaban involucradas en ciberataques con efectos importantes o en tentativas de ciberataque con efectos potencialmente importantes que constituyen una amenaza externa para la UE o sus Estados miembros, o con efectos importantes en terceros Estados u organizaciones internacionales”, añade.

Este tipo de acciones forman parte de las herramientas sancionadoras que la ciberdiplomacia europea dispone, desde el año 2017, para prevenir, disuadir y responder a ciberataques dirigidos contra los Estados miembros de la Unión y que pongan en peligro la integridad europea. Dos años después, el 17 de mayo de 2019, el Consejo diseñó un marco que permite a la Unión Europea imponer medidas restrictivas específicas para disuadir y contrarrestar los ciberataques que representen una amenaza exterior para la UE o sus Estados miembros, en particular los perpetrados contra terceros Estados u organizaciones internacionales, cuando esas medidas se consideren necesarias para alcanzar los objetivos de la política exterior y de seguridad común (PESC).

Francisco Pérez Bes, ex secretario general del Instituto Nacional de Ciberseguridad (Incibe) y actual socio de Derecho Digital en Ecix, explica que este marco permite por primera vez a la Unión Europa imponer sanciones a aquellas personas o entidades que se consideren directamente responsables de ciberataques o de tentativas de ciberataques, contra Estados miembros de la Unión Europea o de sus organizaciones e infraestructuras. Sin embargo, también las prevé contra aquellos que presten para ello apoyo financiero, técnico o material o están implicadas de algún otro modo, así como a las personas y entidades asociadas con ellas.

“Los ciberataques que entran en el ámbito de aplicación de este nuevo régimen de sanciones son los que, por su gravedad o complejidad, tienen repercusiones importantes y que se originan o se cometen desde el exterior de la Unión Europea, o son perpetrados por personas o entidades establecidas fuera de la Unión Europea”, explica Pérez Bes.